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(3) System zur beruhrungslosen Authentisierung des Nutzers einer Datenendeinrichtung eines 
Datenverarbeitungssystems 

(§) Es wird ein System zur beruhrungstosen Authentisierung 
dee Nutzer* eJner Oatenendelnrichtung eines Datenverarbei- 
tungssystems angegeben. Der Nutzer trigt achwer vertier- 
bar, einen Identifikationstrager mit slch, der innerhalb elner 
Entfemung von weniger als 1 m abgef ragt werden kann. Em 
Abstandsleser, der nahe bei der Datenendeinrichtung ange- 
bracht und Qber eln Verbindungskabel mrt thr verbunden ist, 
fragt kontinuierlich die personliche Nutzertennung auf dem 
Identrfikationstrager ab. Wenn die vorbestimmte Entfemung 
fur vorbestimmte Zaitspannen ubenchrttten wird. so wird 
die Datenendeinrichtung teitweise oder ganz blockien. Ein 
Schreibgerat programmiert den Identrfikationstriger zu vor- 
gegebenen Zeitpunkten, an denen der Nutzer anderweitlg 
identifiziert wird. Das Schreibgerat ubermrttelt die erzeugte 
Nutzericennung an das Datenverarbeitungssystem. Sowohl 
bei der Abfrage als auch bei der Programmierung der 
person lichen Nutzerkennung befindet sich der Identrfika- 
tionstrager in einem magnetischen Wechselfeld. 
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Beschreibung 



koniinuierlich wiederholt Wenn dcr Benutzer scincn 
Arbeitsplatz verlftflt, dann ftlhrt der Personal-Computer 
die normale Datenverarbeitung fort; jedoch sperrt er 
jeden Zugang zu den Eingabegerftten (beispielsweise zu 
5 derTastatur). 

Dieses Autorisierungsverfahren erfullt bereits einige 
der Bedingungen, die an einen verbesserten Daten- 
schutz zu stellen sind. Insbesondere wird die Unter- 
scheidung zwischen autorisierten und nicht-autorisier- 
io ten Personen mdglich, ohne daO der zugangsberechtigte 
Nutzer umstfindliche und zeitraubende Eingabeproze- 
duren vomehmen muB. Wenn sich der autorisierte Nut- 
zer entfernt, wird der Personal-Computer automatisch 
in seinen sicherheitsempfindlichen Funktionen blok- 
is kiert Nachteilig an dem bekannten Verfahren ist der 
aktive, dh. batteriebetriebene und daher nicht war- 
tungsfreie, sowie vergleichsweise volumindse Sender. 
Nachteilig ist ferner, daO das unbekannte Verfahren 
nicht offen ist fur weitere Authentisierungsschritte. die 
20 um so wichtiger werden, je grdOer das Datenverarbei- 
tungssystem ist, an welches die Datenendeinrichtung 
angeschlossen ist. 

' Aus dem IBM Technical Disclosure Bulletin, Februar 
1989, & 223 und aus Funkschau 13/1986, S. 24-29 sind 
25 kleine, passive Identifikationstr&ger bekannt. 

Die Erfindung hat sich die Aufgabe gestellt, bei einem 
beruhmngslosen Autentisierungsverfahren der voraus- 
gesetzten Art den Schutz der persdnlichen Nutzerken- 
nung gegen Verlust oder Ausspahung weiter zu verbes- 
30 sern. Diese Aufgabe wird durch die kennzeichnenden 
Merkmale des Anspruchs 1 in Verbindung mit den Gat- 
tungsmerkmalen gelost Eine nebengeordnete Auspri- 
gung des Erfindungsgedankens ist im Anspruch 13 an- 
gegeben. 

35 Der erfindungsgemiBe Identifikationstrager ist pas- 
siv, wartungsfrei und nicht grdOer als 3 x 15 x 20 mm. 
Bei dem erfindungsgem&Ben System kann die Nutzer- 
kennung auf dem Identifikationstrager haufig, zum Bei- 

w spiel Uglich, gewechselt werden. Hierzu werden die 

statur durch Beobachten der Finger ausgespaht 40 Nuizerkennungen von einer Steile ausgegeben, die den 
werden. Nutzer Uglich auf Grund anderer Merkmale eindeutig 

identifiziert Die neue Nutzerkennung wird dabei von 
Die aufgefuhrten Unzulinglichkeiten machen die au- einem an der ausgebenden Steile instailierten Schreib- 
torisiene Nutzung des Datenverarbeitungssystems un- gerit erzeugt und in Verbindung mit der persdnlichen 
bequem. Hieraus resultiert haufig die eingeschrankte 45 Autentisierung durch die ausgebende Steile automa- 



Die Erfindung bczieht sich auf ein System zur Au- 
thentisierung des Nutzers einer Dateneinrichtung eines 
Datenverarbeitungssystems, wie es im Obcrbcgriff des 
Patentanspruchs 1 angegeben ist. Ein derartiges System 
ist aus einer Firmenschrift der Firma UNINA bekannt, 
in welcher das Sicherheitssystem UNISES beschrieben 
ist Die Erfindung bezieht sich ferner auf ein System zur 
Authentisierung nach dem Oberbegriff des Patentan- 
spruchs 13. 

Um gefahrdete oder anderweitig schutzwurdige Da- 
tenverarbeitungssysteme vor unberechtigtem Zugriff 
zu schQtzen, werden Oblicherweise sogenannte LO- 
GON-Verfahren eingesetzt Hierzu werden an einer 
Datenendeinrichtung des Datenverarbeitungssystems 
Nuizerkennungen und PaOwdrter eingegeben, die dem 
autorisierten Nutzer und dem System bekannt sind. Das 
System identifiziert den Nutzer anhand seines PaQworts 
und gewihrt ihm an der benutzten Datenendeinrich- 
tung die zugewiesenen Zugriffsrechte. 

Dieses Verfahren weist Schwachen auf, durch welche 
ein PaOwort verhaltnismafiig leicht umgangen werden 
kann: 

— Simple PaQworte sind leicht aufdeckbar; der 
Schutz des Systems vor unberechtigten Nutzern ist 
nicht gewahrleistet 

— Wirksame und damit lange PaQworte werden 
vom autorisierten Nutzer leicht vergessen. Daher 
werden diese haufig schriftiich aufgezeichnet und 
konnen ebenf alls aufgedeckt werden. 

— Nutzern, die ihr Identifikationsmerkmai "PaQ- 
wort" vergessen haben, stehen die Systemleistun- 
gen in kritischen Situationen nicht zur Verfugung. 

— Der Vorgang des LOGON belastet den Nutzer 
zeitlich und lenkt ihn von der eigentlichen Nutzung 
des Systems ab. 

— PaBworte konnen bei der Eingabe uber die Ta- 



oder unzulangliche Nutzung der verfflgbaren Sicher 
heitsmechanismen. 

Die vorhandenen Sicherheitsmingel haben zu Ober- 
legungen gefuhrt, wie die Datensicherheit bei Benut- 
zung einer Dateneinrichtung grundsltziich verbessert 
werden kflnnte. Das eingangs erwahnte Sicherheitssy- 
stem UNISES verzichtet auf die manuelle Eingabe von 
PaDwdrtern und authentisiert den Nutzer eines Perso- 
nal-Computers automatisch. Die Vorrichtung besteht 
aus einem integrierten Schaltkreis, der im Personal- 
Computer eingebaut und mit leistungsfaVhigen Ver- 
schlusselungsfunktionen versehen ist, sowie aus einem 
kleinen Hochfrequenzsender. der in einer Tasche des 
Nutzers getragen wird und eine persdnliche Kennung 
aktiv abstrahlt Der Hochfrequenzsender hat eine 
Reichweite von 5 Metern und die Funkverbindung 
selbst ist bereits durch VerschlQsselungsalgorithmen ge- 
schOtzt Wenn der Personal-Computer einen berechtig- 
ten Nutzer identifiziert, dann wird die Kennung aus dem 
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tisch an das System Qtermittelt. Das Schreibgerlt kann 
mit einem der Abstandsleser kombiniert sein, der die 
Kennung aus dem Identifikationstrager ausliest und an 
die Datenendeinrichtung weitergibt 

Far die Ugliche Autentisierung des Nutzers bei Ober- 
nahme der Kennung kdnnen biometrische Identifika- 
tionsverfahren zum Ensatz kommen, die zu kosten- 
trichtig wiren, wenn sie fflr jede Datenendeinrichtung 
eingesetzt wflrden. Beispielsweise kann die biometri- 
sche Identifikation eine automatische Auswertung der 
Unterschrift sein. In einem typischen Anwendungsbei- 
spiel betritt ein Datenverarbeitungsnutzer das Betriebs- 
gebaude seiner Firma und weist sich am Eingang durch 
Unterschrift aus. Statt einer automatischen Auswertung 
der Unterschrift kommt auch eine persdnliche Identifi- 
zierung in Betracht Er erhftlt daraufhin einen Identifika- 
tionstrager oder, falls er einen solchen schon besitzt, 
eine neue Kennung zur Nuuung des hausinternen Da- 
tenverarbeitungssystems. Die Kennung wird von einem 



Identifikationstrager in den VerschlQsselungs-Chip ts Schreibgerat einprogrammiert und zusammen mit der 

Qbertragen und es stehen auBer den Standardfunktio- Identity des Nutzers an das Datenverarbeitungssystem 

nen des Personal-Computers auch die geschQtzten Da- gemeldet Das System gibt die Tageskennung dieses 

tenbereiche zur VerfOgung. Die Authentisierung wird Nutzers gegebenenfalls an zusfltzlich zu nutzeigHfSub* 
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sysieme weiter. 

Die Idenufikationstrager ist mit dem Nutzer schwer 
verlierbar in der Nahe des Handgelenks verbunden. Bei- 
spielsweise kann der Identifikationstrager an einem 
Armband festgekJammert werden; er kann aber auch in 
eine Uhr, einen Armreif oder sogar einen Fingerring 
fest eingelassen sein. Nach der Obernahme des Identifi- 
kationstragers oder der neuen Kennung begibt sich der 
Nuuer an seinen Arbeitsplatz. Die Datenendeinrich- 
tung erkennt den Nuuer anhand der Kennung irn Iden- 
tifikationstrfiger. Hierzu ist in der Datenendeinrichtung 
ein Absundsleser eingebaut, der jeden Nuuer in der 
Nahe der Datenendeinrichtung eindeutig identifiziert 
Der Absundsleser wird von einem speziellen Pro- 
gramm gesteuert welches fflr den identifizierten Nutzer 
sofort und automatisch den LOGON-Vorgang Qber die 
Datenendeinrichtung ausldst Der Nuuer kann ohne 
Verzogerung mit seiner Tatigkeit im Datenverarbei- 
tungssystem beginnen. Der LOGON-Vorgang kann in 
den Fallen, in denen ein vollautoraatischer Ablauf nicht 
sinnvoil ist, zusitzlich vom Nuuer aktiv angestoBen 
werden. Der Ablauf des LOGON wird an der Datenend- 
einrichtung angezeigt 

Bei der Kommunikation zwischen Datenendeinrich- 
tung und Rechner kdnnen wahrend des LOGON kryp- 
tographische Verfahren zum Einsau kommen, die ein 
Aufdecken der Nuuerkennung durch Abhoren von Lei- 
tungen erschwerea 

Die Authentisierung des an der Datenendeinrichtung 
tatigen Nuuers wird periodisch oder kontinuierlich wie- 
derholt Im Verlauf des Tages veriaBt der Nutzer hauftg 
fur verschieden lange Zeitspannen seinen Arbeitsplatz. 
Die Authentisierungsvomchtung erkennt dies und 
sperrt sofort fur die Zeit der Abwesenheit die Eingabe 
und/oder Ausgabe der Datenendeinrichtung bei lange- 
ren Abwesenheiten wird ein LOGOFF durchgef uhrt Zu 
diesem Zweck wird die Authentisierung des an der Da- 
tenendeinrichtung tatigen Nutzers periodisch oder kon- 
tinuierlich wiederholt Verlaflt der Nuuer den Wir- 
kungsbereich des Abstandslesers, der maximal einen 
Meter betragt, so wird von dem Ansteuerungspro- 
gramm des Abstandslesers beispielsweise die Tastatur 
gesperrt oder der Bildschirm dunkel getasteL Die Blok- 
kierung erfolgt so lange, bis der Nutzer wieder in den 
Wlrkungsbereich des Abstandslesers zuruckkehrt oder 
durch eine Zeitschaltung des Ansteuemngsprogramms 
das Abmelden des Nuuers beim System ausgelost wird. 

Die verschiedenen Sperrfunktionen der Datenend- 
einrichtung konnen ebenfalls ausgel8st werden, wenn 
ein nicht autorisierter Nuuer in den Wirkungsbereich 
des Abstandslesers kommt Hierzu sind gegebenenfalis 
weitere Sensoren einzuseuen, die hier nicht beschrie- 
ben werden. 

Wechseln im Tagesverlauf die Nutzer an einer Daten- 
endeinrichtung. so wird fur den jeweils berechtigten 
Nuuer sofort ein neues LOGON durchgefuhrt Jedoch 
kann der ehemalige Nutzer durch Auslosen einer Sperr- 
funktion des Abstandslesers diesen Vorgang unterbin- 
den, beispielsweise urn einem Mitarbeiter einen Einga- 
be- oder Ausgabevorgang unmittelbar an der Daten- 
endeinrichtung zu zeigert 

Am Ende des Arbeitstages gibt der Nuuer seinen 
Identifikationstrftger oder seine Kennung an die zentra- 
le Ausgabestelle zurQck, wobei seine Kennung abge- 
fragt und dem Datenverarbeitungssystem die Ungflltig- 
keit dieser Kennung mitgeteilt wird. 

Der Absundsleser besteht prinzipiell aus einer Sen- 
de- und Empfangsspule sowie einer elektronischen Bau- 



gruppe. Typischerweise ist zumindest die Sende- und 
Empfangsspule sehr nahe bei der Eingabetasutur ange- 
bracht Im Betrieb umgibt sie sich mit einem niederfre- 
quenten magnetischen Wechselfeld, dessen Reichweite 
5 typischerweise bei 5-20 cm liegt Das magnetische 
Wechselfeld reagiert auf die Anwesenheit des Identifi- 
kationstragers, der am Handgelenk des beispielsweise 
vor dem Bildschirm siuenden und die Tastatur beruh- 
renden Nuuers angebracht ist 
io Die Erfindung wird anhand der Zeichnungsblatter mit 
den Rg. 1 -6 naher beschrieben. Es zeigt 

Rg. 1: Die Hauptkomponenten des erfindungsgema- 
Ben Authentisierungssysiems 
Rg. 2: ein Blockschaltbild des Identinkationstragers, 
15 wahrend er sich im magnetischen Wechselfeld des 
Schreibgerats befindet . 

Rg. 3: drei verschiedene Bauformen des Identifika- 
tionstragers 
Rg. 4: ein Blockschaltbild des Abstandslesers 
Rg. 5: eine mdgliche Bauform des Abstandslesers 
Rg. 6: ein RuBdiagramm des im Abstandsleser be- 
nuuten Abfrageprogramms. 

In Rg. 1 ist mit DE eine Datenendeinrichtung be- 
zeichnet, die mit einem Datenverarbeitungssystem DV, 
25 typischerweise einem zentral aufgesteilten Rechner ver- 
bunden ist Als Datenendeinrichtung ist in diesem Aus- 
fQhmngsbeispiel ein Personal-Computer vorgesehen; es 
kann sich jedoch auch urn eine sogenannte Arbeitssta- 
tion (work station) oder urn ein einfaches Terminal han- 
30 dein. Im gezeichneten Ausfuhrungsbeispiel steht auf der 
Zentraleinheit des Personal-Computers ein Bildschirm, 
wahrend vor der Zentraleinheit in ublicher Weise eine 
Tastatur TA liegt Nahe bei der Datenendeinrichtung 
DE und elektrisch mit ihr verbunden, ist ein Abstandsle- 
35 ser AL angeordnet Im gezeichneten Ausfuhrungsbei- 
spiel ist ein Abstandsleser AL angeordnet Im gezeich- 
neten Ausfuhrungsbeispiel ist die Sende- und Emp- 
fangsspule 13 des Abstandslesers AL in die Schreib- 
tischunterlage vor der Tastatur TA eingewirkt Die Sen- 
40 de- und Empfangsspule 13 ist Ober eine Verbindungslei- 
tung 12 an eine elektronische Baugruppe 2 des Ab- 
standslesers AL angeschlossen, welche als spezifische 
Prozessor-Karte einschlieBlich des zugehorigen Sicher- 
heitsprogramms einen SteckplaU des Personal-Compu- 
45 ters belegt Die elektronische Baugruppe 2 kann jedoch 
auch zusammen mit der Sende- und Empfangsspule 13 
in einen Vorlegekeil eingebaut sein, der sich gleichfalls 
in der Nahe der Tastatur TA befindet In diesem Fall ist 
der Absundsleser AL Qber eine exteme Schnittstelle 
so mit dem Personal-Computer verbunden. 

Mit dem Bezugszeichen ID ist ein Idenufikationstra- 
ger angedeutet, der sich zwangslaufig in der Reichweite 
des magnetischen Wechselfelds des Abstandslesers AL 
aufhalt, wenn ein Nutzer der Datenendeinrichtung DE 
55 ihn am Handgelenk oder in der Nahe des Handgelenks 
befestigt hat Mit ZS ist ein zum Abstandsleser AL alter- 
nativer Zusausensor angedeutet, der es als Option er- 
moglicht, eine Maussteuerung in die geschuuten Einga- 
befunktionen einzubeziehen. 
Der Identifikationstr§ger ID wird vom Nuuer zum 
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Beispiel in Form einer Uhr oder eines Armbandes getra- 
gen. Die Benutteridentifikation fOr das LOGON erfolgt 
im gezeichneten AusfQhrungsbeispiel sobald sich der 
IdenuftkationstrOger ID unmittelbar Ober der Sende- 
es und Empfangsspule 13 des Abstandslesers AL befindet 
Die maximale Abfrageentfentung ist typischerweise 
kleiner als 20 cm. Die vorbestimmte EntfemungLin wel- 
cher die Abf rage der Kennung noch moglich isp^tra^t 
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in jedem Fall wenigcr als I Meter. 

Der Identifikationstrager ID besteht im wesentlichen 
aus 2 Komponentert Ein Chip 14 enthfilt alle zum Be- 
trieb notwendigen elektronischen Bauteile, vorzugswei- 
se in hoch integrierter Form. Die daran angeschlossene 
Miniaturspule 15 ist wesentlich kleiner als die Sende- 
und Empfangsspule 13 des Abstandslesers AL so dafl 
sie zum Beispiel f Qr den Einbau in eine Uhr geeignet ist 
Jeder Nutzer, der Zugang zu dem zu schQtzenden Da- 
tenverarbeitungssystem DV erhalten soli, erhalt einen 
Identifikationstrager ID, durch den der Nutzer eindeu- 
tig authentisiert werden kann. Diesen Identifikationstra- 
ger ID fQhrt der Nutzer mSglichst unverlierbar bei sich. 
Die Miniaturspule 15 tritt im Fall der Abfrage (Fig. 1) 
mit dem Magnetfeld des Abstandslesers AL in Wechsel- 
wirkung. Im Fall der Programmierung (Fig. 2) befindet 
sich die Miniaturspule 15 im Bereich eines ahnlichen 
Magnetfelds, das von einem Schreibgerat SG erzeugt 
wird. In diescm Feld kann der Identifikationstrager ID 
kontaktlos programmiert werden. Mit dem Schreibge- 
rat SG lassen sich beispielsweise 2 ix verschiedene Iden- 
tifikationstrager ID programmieren oder sperren. An- 
derungen der auf dem Identifikationstrager ID gespei- 
cherten Parameter sind jederzeit mdglich. Das Schreib- 
gerat SG kann als eigenstandige Datenendeinrichtung 
des Datenverarbeitungssystems DV konzipiert sein; 
dann stent es beispielsweise an der Pforte eines Be- 
triebsgebaudes. Das Schreibgerat SG kann aber auch 
mit dem Abstandsleser AL kombiniert sein; dann ist der 
Identifikationstrager ID uber die Datenschnittstelle 
zwischen dem Abstandsleser AL und dem Personal- 
Computer DE programmierbar. 

Die Identifikationstrager ID werden mit einem nume- 
rischen Code programmiert Diesen Daten werden Si- 
cherheitsinformationen beigemischt Die Erzeugung er- 
folgt nach einer geheimen Formel. Der im Speicher des 
Identifikationstragers ID abgelegte Datensatz kann nur 
einmal hergestellt werden. Dadurch ist die Mfiglichkeit 
ausgeschlossen, dafl mehrere Identifikationstrager ID 
mit gleichem Code exisueren. Der Nutzer selbst defi- 
niert die fret zuganglichen Datenmengen, wahrend das 
Schreibgerat SG und der Abstandsleser AL fQr die Da- 
tensicherheit des Programmiervorgangs und des Abfra- 
gevorgangs sorgen. Ein bestimmter Bereich des Identifi- 
kationstragers ID bleibt dem Anwender verschlossen; 
dieser Bereich kann nur einmal bei der Herstellung pro- 
grammiert werden- Diese SicherheitsmaBnahmen zu- 
sammen mit einem ausgeklQgelten Polynom fQr die Da- 
tenubertragung erlauben einen betriebssicheren Ein- 
satz. 

Der Chip 14 enthalt alle zum Betrieb notwendigen 
Funktionseinheiten. Hierzu gehSren ein Speicher fQr die 
nutzerspezifische Kennung, eine Sendeschaltung zur 
Obertragung der gespeicherten Daten, eine Empfangs- 
schaltung zur Anderung von Teilen der gespeicherten 
Daten und eine Schaltung fur die Energiegewinnung 
zum Betrieb des Chips 14. Der Generator fflr die Span- 
nungsversorgung des Chips 14 gewinnt die Energie aus 
dem niederfrequenten magnetischen Wechselfeld. Die 
integrierte Schaltung 14 speichert im Kennungsspeicher 
eine mehr als 64 bit (Standard paO wort) lange, eindeuti- 
ge Kennung des Nutzers. Diese Kennung Uegt nicht 
flflchtig vor und kann durch Aktivieren des Generators 
far die Spannungsversorgung ausgelesen werden. 

Ein Sendeverst&rker liest die Kennungsinformation 
aus dem Speicher, moduliert sie und Qbermittelt sie an 
die Miniaturspule 15. Ober dieselbe Schnittstelle laflt 
sich die gespeicherte Kennung durch AnschlieBen an 



das Schreibgerat SG ersetzen. Der Chip 14 und die Mi- 
niaturspule 15 sind geschQtzt in einen Trager eingebaut 
Drei mdgliche Bauformen des Identifikationstragers ID 
sind in Fig. 3 dargesteilt Alle Identifikationstrager ID 
5 sind mit einer fest angebrachten Seriennummer ausge- 
stattet 

In Fig. 3.1 sind der Chip 14 und die Miniaturspule 15 
wasserdicht in flexible* Material eingegossen. Fig. 3.1 
zeigt ungefahr in natOrlicher GrCBe, wie der so entstan- 
io dene Miniaturtrager an einem Armband 16 befestigt 
werden kann. Ein Kunststoffring 17 umschlieflt den 
Identifikationstrager ID und das Armband 16, das bei- 
spielsweise ein Uhrarmband ist Der Miniaturtrager 14, 
15 kann aber auch mit Hilfe eines nichtmagnetischen 
15 Clips an dem Armband 16 befestigt werden. 

In Fig. 12 ist ein Uhrgehause so gestaltet, dafl neben 
dem Uhrwerk 18 zusatzlich der Chip 14 und die Spule 15 
in dem Gehiuse Platz finden. Die Spule 15 liegt in die- 
sem AusfQhrungsbeispiel an der Umfangslinie des Zif- 
20 ferblattes. 

Eine weitere M3glichkeit zur Befestigung des Identi- 
fikationstragers ID in Handnahe ist in Fig. 3J darge- 
steilt Der Chip 14 und die Miniaturspule 15 sind in ein 
eigens dafQr angefertigtes, nichtmagnetisches Armband 
23 20 eingebettet Dieses Armband verfQgt uber einen Ver- 
schlufl 19. so dafl es auflerhalb des Betriebs abgelegt 
werden kann. Zur weiteren Erhdhung der Sicherheit 
kann dieser Verschlufl mit einem elektronischen Schalt- 
mechanismus kombiniert werden, der die im Chip 14 
30 gespeicherten lnformationen Idscht, so dafl das Arm- 
band 20 bei Verlust fur den Finder wertlos wird. 

Es ist auch denkbar. den Identifikationstrager ID als 
Fingerring zu realisieren. 

In Fig. 4 ist ein Blockschaltbild des Abstandslesers AL 
35 dargesteilt der an jede Datenendeinrichtung DE des zu 
schOtzenden Systems DV angeschlossen wird. Bei Be- 
darf kann der Einsatz des Abstandslesers AL auf solche 
Datenendeinrichtungen DE beschrankt werden, die 
nicht durch sonstige Maflnahmen hinreichend geschOtzt 
40 sind oder bei denen ein haufiger Wechsel des Nutzers 
vorkommt 

Der Abstandsleser AL setzt sich im wesentlichen aus 
der elektronischen Baugruppe 2 und der Sende- und 
Empfangsspule 13 zusammen. Die Sende- und Emp- 
45 fangsspule 13, die aus Kupferdraht besteht, ist Qber eine 
zweiadrige Verbindungsleitung 12 mit der elektroni- 
schen Baugruppe 2 verbunden. Die elektronische Bau- 
gruppe 2 ihrerseits setzt sich in der Hauptsache aus 
einer Sende- und Empfangsschaitung 8 und einem Mi- 
50 kroprozessor 3 zusammea Die Sende- und Empfangs- 
schaitung 8 enthalt einen Generator 9 mit Leistungsver- 
starker 10, der das niederfrequente magnetische Wech- 
selfeld in der Sende- und Empfangsspule 13 erzeugt Das 
vom Identifikationstrager ID in die Sende- und Emp- 
55 fangsspule 13 eingekoppelte Signal wird uber eine Emp- 
fangsschaitung 11 so weit aufbereitet, dafl es vom Mi- 
kroprozessor 3 ausgewertet werden kann. 

Der Mikroprozessor 3 besteht im wesentlichen aus 
einer CPU 3, einem EEPROM 6 zur Speicherung des 
eo Abfrageprogramms, einem RAM 7 als Arbeitsspetcher 
sowie aus einem Schnittstellenbaustein 4. Der Schrutt- 
stellenbaustein 4 betreibt, zusammen mit dem Abf rage- 
programm. die Schniustelle 1. Ober diese Schnittstelle 1 
wird der Abstandsleser AL an den Personal-Computer 
es oder an eine sonstige Datenendeinrichtung DE ange- 
koppelt Bei einer bereits realisierten Version ist die 
Schnittstelle 1 als V-24-Schnittstelle zu einem Personal- 
Computer realisiert Bei der in Fig. 1 dargestepfa Ve_r, 
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sion, bei der die clcktronischc Baugruppe 2 des Ab- 
standstesers AL als Steckkarte in die Datenendeinrich- 
tung DE eingesetzt wird, wird die Schnittstelle 1 als 
interne Bus-Schnittstelle nuagefflhn 

Im Betrieb wird Qber die Leistungskette 9, 10, 12, 13 5 
ein Wechselmagnetfeld begrenzter Reichweite erzeugt 
das in der Miniaturspule 15 des Identifikationstragers 
ID eine Wechselspannung erzeugt Diese Wechselspan- 
nung wird im Chip 14 in die erforderliche Betriebsspan- 
nung umgesetzt Der Identifikationstrager ID sendet to 
daraufhin die in ihm gespeicherte Nutzerkennung in bi- 
narer Form aus. Die Daten werden vom Empfangszweig 
13, 12, 11 des Abstandslesers AL empfangen und im 
Mikroprozessor 3 aufbereitet und ausgewertet Der Mi- 
kroprozessor 3 steuert Qber die Schnittstelle 1 die Da- 15 
tenendeinrichtung DE an und I6st dort fret program- 
mierbare Folgeaktionen a us, die im Zusammenhang mit 
dem FunktionsfluBdiagramm gemaG Fig. 6 besprochen 
werden. 

Fig. 5 zeigt eine zu Fig. 1 alternative AusfQhrungs- 20 
form des Abstandslesers AL Es handelt sich urn ein 
keilfOrmiges Gehause 23, in dem sowohl die Sende- und 
Empfangsspule 13 als auch die elektronische Baugruppe 
2 untergebracht sind Das Gehause 23 besteht aus mit- 
teldichter Faserplatte (MDF) und wird als Vorlegekeii 23 
vor die Tastatur TA eines tragbaren Personal-Compu- 
ters gelegt Eine grUne Leuchtdiode 21 auf derObersei- 
te des Gehauses 23 zeigt die Anwesenheit eines Identifi- 
kationstragers ID im Wirkungsbereich der Sende- und 
Empfangsspule 13 an. Der AnschluO an den Personal- 30 
Computer erfolgt mit Hilfe eines aus dem Gehause 23 
herausgefUhrten Verbindungskabels 21 Das Verbin- 
dungskabel 22 wird mit einer der seriellen Schnittstellen 
des Personal-Computers verbunden. 

Das Flufidiagramm in Fig. 6 zeigt die wichugsten 35 
Funktionen des im Abstandsleser AL enthaltenen Ab- 
frageprogramms. Im Zustand a "kein Nutter* ist keine 
Person mit dem Datenverarbeitungssystem DV in Ver- 
bindung getreten. Die Dateneinrichtung DE ist fQr alle 
Eingaben gesperrt und keine ihrer Anwendungen ist ao 
aktiv. In der Funktion b uberpruft die CPU 5 fortlaufend 
das Signal des Empfangers 11 daraufhin, ob ein Identifi- 
kationstrager ID in den Wirkungsbereich der Sende- 
und Empfangsspule 13 eintritt Falls ein Identifications- 
trager ID detektiert wird, wird die Funktion c aktiv. Mit 45 
Hilfe einer Datenbasis, die entweder im EEPROM 6 
oder auf den Speichermedien des Personal-Computers 
DE oder im zentralen Speicher des Datenverarbei- 
tungssystems DV abgelegt ist, wird geprflft ob die Ken- 
nung dieses Nutzers fur diese Datenendeinrichtung DE 50 
zugelassen ist. Falls nicht bleibt das Gerat DE gesperrt 
und es wird gewartet, bis eine neue Kennung detektiert 
wird 

Falls die Kennung zugelassen ist, wird im Zustand d 
die Datenendeinrichtung zur Nutzung freigegeben. Die 55 
Anwesenheit des Identifikationstragers ID im Wir- 
kungsbereich der Sende- und Empfangsspule 13 wird 
durch die Funktion e fortlaufend Qberwacht Sobald der 
Nutzer den Wirkungsbereich verlaflt, wird die Daten- 
endeinrichtung DE in naher zu bestimmender Weise 60 
gesperrt und auf die Detektion einer weiteren Nutzer- 
kennung gewartet Der Wirkungsbereich eines Gehau- 
ses 23 oder einer entsprechenden Schreibtischunteriage 
oder einer sonstigen Bauform der Sende- und Emp- 
fangsspule 13 betragt typischerweise weniger als 20 cm, 65 
Oberschreitet aber aus Sicherheitsgrunden in keinem 
Fall die Entfernung von einem Meter. 

Unter dem Blockieren der Datenendeinrichtung wel- 
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ches sofort ausgelOst wird, ist insbesondere ein Sperren 
der Tastatur und/oder ein Dunkeltasten des Bildschirms 
zu verstehen. Diese Sperren werden wieder aufgeho- 
ben, wenn der Nutter in den Wirkungsbereich zurOck- 
kehrt Nach Ablauf einer bestimmten Zeit (z. B. drei 
Minuten) kann das Abfrageprogramm den Nutter beim 
Datenverarbeitungssystem DV abmelden (LOGOFF). 
Bei besonders sicherheitsempfindlichen Datenendein- 
richtungen kann auch registriert werden, wenn sich der 
Nutzer kurzzeitig von der Datenendeinrichtung DE 
entfernt und diese gesperrt wird. Die Funktion "Sperren 
der Tastatur/Dunkeltasten des Bildschirms" kann auch 
ausgelGst werden, wenn ein nicht autorisierter Nutzer in 
den Wirkungsbereich des Abstandslesers AL kommt 
Hierzu sind ggf. weitere Sensoren einzusetzen. 

Neben dem automatischen Sperren der Datenendein- 
richtungen gibt es f(lr den Nutter nattirlich die Mflglich- 
keit eine Sittung explizit zu beenden. Die Funktion f 
entscheidet darilber. ob alle aktiven Anwendungen be- 
endet werden oder ob die automatischen Sperrfunktio- 
nen ausldsbar bleiben. Weitere Spenrfunktionen oder 
Folgeakuonen sind programmierbar, beispielsweise 
Qber die Schnittstelle 1 von der Datenendeinrichtung 



Patentanspruche 

1. System zur Authentisierung des Nutzers einer 
Datenendeinrichtung eines Datenverarbeitungssy- 
stems, 

bei dem der Nutzer einen Identifikationstrager, der 
innerhalb einer vorbestimmten Entfernung beruh- 
rungslos abgefragt werden kann, schwer verlierbar 
mit sich tragt, 

und bei dem ein Abstandsleser, der nahe bei der 
Datenendeinrichtung angebracht und Qber ein Ver- 
bindungskabel mit der Datenendeinrichtung ver- 
bunden ist, eine persdnliche Nutzerkennung auf 
dem Identifikationstrager sich innerhalb der vorbe- 
stimmten Entfernung befindet, 
d&durch gekennzeichnet, dafl 
ein Schreibgerat (SG) zu vorgegebenen Zeitpunk- 
ten (z, Bsp. taglich) eine neue persdnliche Nutzer- 
kennung auf dem Identifikationstrager(ID) einpro- 
grammiert und gleichartig an das Datenverarbei- 
tungssystem (DV) Obermittelt, 
der schwer verlierbare Identifikationstrager (ID) in 
der Nahe des Handgelenks des Nutzers angebracht 

die vorbestimmte Entfernung zwischen Identifika- 
tionstrager (ID) und Abstandsleser (AL) und damit 
auch die Entfernung zwischen Identifikationstrager 
(ID) und Datenendeinrichtung (DE) weniger als 1 
Meter betragt 

und sowohl die Abfrage als auch die Programmie- 
rung der persOnlichen Nutzerkennung durch ein 
magnetisches Wechselfeld vermittelt wird 

2. Authentisierungssystem nach Anspruch 1, da- 
durch gekennzeichnet daB die genutzte Datenend- 
einrichtung ein Personal-Computer ist 

3. Authentisierungssystem nach Anspruch 1. da- 
durch gekennzeichnet, daB die genutzte Datenend- 
einrichtung eine Workstation ist 

4. Authentisierungssystem nach Anspruch 1. da- 
durch gekennzeichnet, daB die genutzte Datenend- 
einrichtung ein Terminal ist 

5. Authentisierungssystem nach Anspruch 1 bis 4, 
dadurch gekennzeichnet dafl das Schgeifager&t 
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(SG) die erzeugte Nutzerkennung an die zentrale 
Datenbasis des Datenverarbeitungssystems (DV) 
Gbermittelt 

6. Authentisierungssystem nach Anspruch I bis 4, 
dadurch gekennzeichnet daB das Schreibgerat 5 
(SG) mit dem Abstandsleser (AL) kombiniert ist 
und die erzeugte Nutzerkennung an die Datenbasis 
im Abstandsleser (AL) Qbermittelt 

8. Authentisierungssystem nach einem der vorher- 
gehenden Ansprflche, dadurch gekennzeichnet, daB to 
die vorbestimmte Entfernung zwischen dem Identi- 
fikauonstrager(ID) einerseits und dem Abstandsle- 
ser (AL) bzw. der Datenendeinrichtung (DE) ande- 
rerseits weniger als 20 cm betrigt 

9. Authentisierungssystem nach Anspruch 1 bis 8, is 
dadurch gekennzeichnet, daB die Datenendeinrich- 
tung (DE) sofort gesperrt wird, wenn der Identifi- 
kationstrager (ID) die vorbestimmte Wirkungsent- 
fernung veriaflt 

10. Authentisierungssystem nach Anspruch 9. da- 20 
durch gekennzeichnet, daB die Eingabetastatur 
(TA) blockiert wird 

11. Authentisierungssystem nach Anspruch 9, da- 
durch gekennzeichnet, daB ein Bildschirm der Da- 
tenendeinrichtung (DE) dunkelgetastet oder ein 25 
Drucker der Datenendeinrichtung (DE) gesperrt 
wird 

12. Authenusierungssystem nach Anspruch 9, da- 
durch gekennzeichnet, daB die Datenendeinrich- 
tung (DE) den Nutzer nach Ablauf einer bestimm- 30 
ten Zeitspanne beim Datenverarbeitungssystem 
(DV)abmeldet 

13. System zur Authentisierung, mit welchem der 
Nutzer eines Datenverarbeitungssystems, der sich 

in der Nahe einer Datenendeinrichtung befindet 35 
beruhrungslos authentisiert wird, gekennzeichnet 
durch 

einen Identifikationstrager (ID), der aus einem Chip 
(14) und einer Miniaturspule (15) besteht 
einen Abstandsleser (AL), bei dem eine elektroni- 40 
sche Baugruppe (2) uber eine Verbindungsleitung 
(12) an eine Sende- und Empfangsspule angeschlos- 
sen ist, 

und ein Schreibgerat (SG) zum Programmieren des 
Identifikationstragers (ID), welches zentral oder 45 
Ober die Datenendeinrichtung (DE) an das Daten- 
verarbeitungssystem (DV) angeschlossen ist 

14. System nach Anspruch 13, dadurch gekenn- 
zeichnet, dafl der Identifikationstrager (ID) an ei- 
nem Armband (16) befestigt ist 50 

15. System nach Anspruch 14, dadurch gekenn- 
zeichnet, daB die Befestigung durch einen Kunst- 
stoffring (17) geschieht 

16. System nach Anspruch 14, dadurch gekenn- 
zeichnet, daB die Befestigung durch einen nichtma- 55 
gnetischen Clip geschieht. 

17. System nach Anspruch 13, dadurch gekenn- 
zeichnet, daB der Identifikationstrager (ID) in ein 
Armband (20) eingebaut ist 

18. System nach Anspruch 17, dadurch gekenn- 60 
zeichnet daB das Armband (20) einen VerschluB 
(19) aufweist, bei dessen Offnen die Kennung im 
Identifikationstrager (ID) geldscht wird 

19. System nach Anspruch 13, dadurch gekenn- 
zeichnet daB der Identifikationstrager (ID) neben w 
einem Uhrwerk (18) in einem Uhrgehfiuse einge- 
baut ist 

20. System nach Anspruch 13, dadurch gekenn- 
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zeichnet daB der Identifikationstrager (ID) in ei- 
nem Fingerring eingebaut ist 
21. System nach Anspruch 13 bis 20, dadurch ge- 
kennzeichnet daB der Abstandsleser (AL) in einem 
Gehiuse (23) untergebracht ist das eine elektroni- 
sche Baugruppe (2) und eine Sende- und Empfangs- 
spule (13) enthilt und als Vorlegekeil ausgebildet 
ist 

2Z System nach Anspruch 21, dadurch gekenn- 
zeichnet, daB das GehSuse (23) eine Leuchtdiode 
(21) trftgt welche die vollzogene Authentisierung 
des Nutzers anzeigt 

23. System nach Anspruch 13 bis 20, dadurch ge- 
kennzeichnet daB die Sende- und Empfangsspule 
(13) des Abstandslesers (AL) in eine Schreibtisch- 
unterlage eingewirkt ist und daB die elektronische 
Baugruppe (2) des Abstandslesers (AL) auf einer 
Steckkarte angeordnet ist welche in die Datenend- 
einrichtung (DE) einsteckbar ist 

24. System nach Anspruch 13 bis 23, dadurch ge- 
kennzeichnet daB ein Zusatzsensor (ZS) vorgese- 
hen ist der fur die Ann&herung des Identifikations- 
tragers (ID) an eine weitere Eingabevorrichtung, 
insbesondere eine sog. M aus, empfindlich ist 

25. System nach einem der Ansprflche 13 bis 24, 
dadurch gekennzeichnet, daB weitere Sensoren 
vorgesehen sind, welche die Annaherung von nicht- 
berechtigten Personen registrierert 

26. System nach Anspruch 13 bis 25, dadurch ge- 
kennzeichnet, daB die elektronische Baugruppe (2) 
des Abstandslesers (AL) uber eine serielle Schnitt- 
stelle an die Datenendeinrichtung (DE) angeschlos- 
sen ist 

27. System nach Anspruch 13 bis 25, dadurch ge- 
kennzeichnet dafl die elektronische Baugruppe (2) 
des Abstandslesers (AL) uber eine interne Schnitt- 
stelle an den Datenbus der Datenendeinrichtung 
(DE) angeschlossen ist 
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(54) Title: A system for touch-free authenticating of the user 
of a data terminal apparatus of a data processing procedure 



Proposed is a system for a touch-free authenticating of the user of a data 
terminal apparatus of a data processing procedure. The user wears an 
identification carrier, designed to be difficult to lose, which can be 
electronically interrogated within a distance of less than 1 m. A distance 
detector, which is installed in proximity to the data terminal apparatus and 
is connected thereto by a cable, continually interrogates the personal user 
recognition from the identification carrier. When the pre-specified 
separation distance is overstepped for a given time, then the data terminal 
apparatus is partially or completely blocked. A registering device programs 
the said identification carrier at specified intervals , at which the user is 
repeatedly identified. The registering device transmits the produced user 
recognition to the data processing system. The identification carrier is 
placed in a magnetic alternating field not only for the interrogation, but also 
for the programming of the personal user recognition device. 
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Patent DE 40 15 482 CI 

"A system for touch-free 
authenticating of a user of a 
data terminal of a data processing system" 



Description 

The invention concerns a system for touch-free authentication of a user of a 
data terminal apparatus of a data processing system, as this is presented in the generic 
concept of Claim 1 of the present patent. A system of this type is made known by a house 
organ of the firm UNTNA, in which a security system UN1SES is described. The invention 
further concerns a system for authentication in accord with the generic concept of Claim 

13 of this present patent. 

In order to protect endangered or otherwise protection worthy data processing 
systems from unauthorized entry, conventionally the so-called LOGON-process has been 
employed. By this process, user recognitions and passwords were input to a data terminal 
apparatus of the data processing system, to which the authorized user and the system were 
known. That system identified the user with the aid of his password and assured him of 
access rights to his assigned data terminal apparatus. 

This process exhibits points of weakness, by which the password can easily be 

circumvented, namely. 

Simple passwords can be easily detected, the protection 
of the system from unauthorized users is not assured, 

Efficient, and thereby long passwords are easily 
forgotten by the user. Therefore, these are 
frequently placed in written form and can on this 
account also be discovered, 

o Users, who have forgotten their identification 
feature "Password" are not available to the 
system in critical situations, 
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• The procedure of the LOGON is time consuming 
for the user and diverts him from the reality of the 
intended purpose of the data system and 

o Passwords can be inferred upon input by keyboard 
by observation of finger movements. 

The above outlined, inadequate measures cause the authorized usage of the data 
processing system to be uncomfortable. The result of this is the limited or inadequate 
employment of the safety measures which have been available. 

The present safety deficiencies have led to considerations, as to how data security 
for the user can be fundamentally improved. The method mentioned in the above 
introduction, "UNISES" dispenses with the manual input of passwords and authenticates 
the user of a personal computer automatically. The apparatus is comprised of an 
integrated switching circuit, which is built into the said Personal computer and is provided 
with serviceable key functions, as well as being comprised also of a small high frequency 
sender, which is carried in the pocket of the authorized user and emits a personal 
recognition signal. The high frequency sender has a field extent of five meters and the 
radio connection (for that is what it is) is further protected by key-algorithms. When the 
Personal computer identifies an authorized user, the recognition is transferred out of the 
identification carrier into the key-chip and thereupon, the standard functions of the 
Personal computer as well as the protected data areas stand available to the approved 
user. The authentication is 
[German Column No. 2] 

continually repeated. When the user vacates his work place, then the Personal computer 
carries on the normal data processing, however, it blocks every entry into the input 
function, i.e. the functioning of the keyboard. 

This authorization procedure already fulfills some of the conditions which are to be 
applied to improved data protection. Especially, a difference is made between authorized 
and non-authorized personnel, while the user is spared the complicated and time robbing 
recognition input procedures. 
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When the authorized user leaves the computer site, then the computer automatically 
drops into its safety-sensitive operative mode, blocking access as above described. 
Disadvantageous^, to the known process, is the active, i.e. self powered sender which is 
battery driven and thus not maintenance free. This sender is also thereby made 
comparatively large in size. A further deficiency, is that the unknown process is not open 
for further authentication steps. These steps increase in importance in proportion to how 
much larger becomes the data processing system to which data terminal apparatus is 
connected. From the IBM Technical Disclosure Bulletin of February, 1989, page 223 and 
from the Funkshau bulletin 13/1986, pages 24 to 29, small, passive (no battery) 
identification carriers are disclosed. 

Therefore, the invention takes upon itself the purpose of further improving 
protection against loss or hostile observation of personal use recognition, by means of a 
touch-free, authenticating system of the above mentioned characteristics. This purpose 
will be achieved by the recognition features of Claim 1 in connection with inherent 
features of data protection procedures. A subordinate embodiment of the concept of the 
invention is presented in Claim 13 of the present patent. 

The invented identification carrier is passive, maintenance free and not larger than 
3 x 15 x 20 mm. In the case of the system in accord with the invention, the user 
recognition can be changed frequently, possibly daily. In this case the user recognition is 
emitted from a station, which unmistakably identifies the user daily on the grounds of 
other characteristics. In this matter the new user recognition is produced by a registration 
apparatus at a plant wide dissemination station, thus automatically transmitting the 
personal authorization through the said station into the invented system. The registration 
station can be combined with a distance detector, which reads the recognition off of the 
identification carrier and transmits these data to the data terminal apparatus. 

For the daily authentication of the user by acceptance of the recognition, biometric 
identification procedures may be brought to bear. If these prove too costly for each data 
terminal apparatus, then the biometric identification can be an automatic evaluation of the 
signature. 
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In a typical application example, a data processing user enters the company building 
of his firm and identifies himself at the entry by his signature. Instead of an automatic 
evaluation of the signature, there is also a personal identification to be considered. He 
thereupon receives an identification carrier, or, in case he already has such a device, he 
receives a new recognition input for the use of the firm's data processing system. The 
recognition is programmed in by a registration device and together\vith the identity of the 
user, is transmitted to the data processing system. The system, where necessary, provides 
the daily recognition of this user to appropriate other systems he might use. 
[German Column No. 3 J 

The identification carrier is bound on the wrist of the user and is hard to lose. For 
instance, the identification carrier can be affixed to a watch, or an arm band or even a ring. 
After the acceptance of the identification carrier or the new recognition, the user proceeds 
to his work station. The data terminal apparatus recognizes the user by the signal emitted 
by the identification carrier. In this procedure, a distance detector is installed in the data 
terminal apparatus, which unmistakably identifies each user proximal to the data terminal 
apparatus. The distance detector is controlled by a special program, which immediately 
and automatically releases the LOGON process through the data terminal for the identified 
user. The user then, without delay, can start with his work in the data processing system. 
Where a fully automatic recognition system is not advantageous, the LOGON process can 
be called up by the user. The running of the LOGON process is displayed on the data 
terminal equipment. 

In the communication between the data terminal and the computer, during the 
LOGON procedure, cryptographic programs can be brought into play, which make 
difficult a discovery of the use-recognition by tapping wires. 

The authentication of the user working on the data terminal apparatus is periodically 
or continually reviewed. In the course of the day, the user frequently leaves his workplace 
for time spans of various lengths. The authentication apparatus detects this and, for the 
time of the absence of input and/or output to the data terminal apparatus, activates a 
LOGOFF procedure. 
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For this purpose, the authorization of the active user on the data terminal apparatus 
is periodically or continually reviewed. If the user leaves the active zone of the distance 
detector area, which is one meter maximal, then the control program of the distance 
detector area will block the keyboard and/or render the monitor screen dark. This 
blockage remains so, until the user returns to the area of the distance detector, or, by 
means of a time switch, the control program will release the quitting signal of the user and 

shut down the system. 

The various blockage functions of the data terminal apparatus can be released, in like 
manner, when a non-authorized person comes into the active field of the distance detector. 
In this case, where required, additional sensors can be located, which will not be described 
here. 

If, in course of the day, there is a change of user on a data terminal apparatus, then, 
if said new user is authorized, then immediately another LOGON is carried through. 
However, the former user, by the release of a blockage function of the distance detector, 
can accommodate this procedure, for instance in order to show a co-worker an input or an 
output process directly on the data terminal apparatus. 

At the end of the workday, the user returns his identification carrier or his 
recognition device back to the central issuance station, whereby his recognition is 
challenged and the data processing system is informed of the invalidity of this recognition 
signal. 

The distance detector is comprised principally of a sending and receiving coil as 
[German Column No.4] 

an electronic subassembly. Typically, at least the sending and receiving coil is installed 
very near to the input keyboard. In operation, this is surrounded by a low frequency, 
magnetic alternating field, the active extent of which is typically 5 to 20 cm. The magnetic 
alternating field reacts to the presence of the identification carrier, which is placed on the 
wrist of the user sitting, for example, before the screen and operating the keyboard 



The invention will be described in greater detail with the help of reference 
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drawings, especially Figs. 1 to 6. There is shown in: 

Fig. 1 the main components of the authentication 
apparatus in accord with the invention, 

Fig. 2 a block circuit diagram of the identification 
carrier, while it is in the magnetic alternating 
field of the registration apparatus, 

Fig. 3 three identification carriers, each constructed differently, 

Fig. 4 a block diagram of the distance detector, 

Fig. 5 a possible embodiment of the distance detector and 

Fig. 6 a logic diagram of the employed interrogating 
program in the distance detector. 

In Fig. 1, the data terminal apparatus is designated as DE, which is connected, in a 
typical manner, with a data processing system DV, this being normally a centrally placed 
computer. A personal computer is foreseen, in this embodiment of the present patent, as a 
data terminal apparatus. This may just as well be a so-called workstation or a simple 
terminal. In the depicted embodiment on the central unit of the Personal computer is a 
monitor with screen, while, in front of the said central unit is, as usual, a keyboard TA. In 
proximity to the data terminal apparatus DE and electrically connected therewith is 
located a distance detector AL. A distance detector AL is shown in the illustrated 
example. In the drawn embodiment is shown the sending and receiving coil 13 of the 
distance detector AL, worked into the desk surface in front of the keyboard TA. The 
sending and receiving coil is connected by an electrical cable 12 to an electronic 
subassembly 2 of the distance detector AL, which possesses a slot in a Personal computer, 
as a specific processor card, including the associated safety program. The electronic 
subassembly can also be concealed in a front wedge, along with the sending and receiving 
coil 13, which likewise finds itself in proximity to the keyboard TA. In this case, then the 
distance detector AL is connected by means of an external interface with the personal 
computer. 
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ID designates an identification carrier, which necessarily maintains a position in the 
active zone of the magnetic alternating field of the distance detector AL, when a user of 
the data terminal apparatus DE has it on his wrist or in proximity of the wrist. ZS denotes 
an alternative sensor to the distance detector AL, which offers the option of bringing a 
mouse into the protected input functions. 

The identification carrier ID is found directly over the sending and receiving coil 13 
of the distance detector AL. The maximum interrogation distance is typically less than 20 
cm. The prespecified distance, in which interrogation regarding identity is still possible, is 
in any case, less than 1 meter. 
(German Column No. 5] 

The identification carrier ID is comprised essentially of 2 components. A chip 14 
contains all necessary electronic subassemblies necessary for operation, advantageously in 
a highly integrated form, The miniature coil 15 is essentially smaller than the sending- 
receiving coil 13 in the distance detector AL, so that it is, for example, suitable for 
integrating inside of a watch. Each user, who should have access to the protected data 
processing system DV, receives an identification carrier ID, by means of which the 
authenticity of the user can be reliably determined. This identification carrier the user is to 
carry with him in a manner which prevents loss as far as possible. The miniature coil 1 5, 
in the case of interrogation, (Figs 1, 2) enters into the alternating magnetic field of the 
distance detector AL. In the case of programming (Fig. 2), the miniature coil 15 finds 
itself in a similar magnetic field, which has been produced by the registration apparatus 
SG. In this field, the identification carrier ID can be touch-free programmed. With the 
registration apparatus SG, for instance 2 Jl different identification carriers ID can program 
or block. Alterations in the stored parameters on the identification carrier ED can be 
effected at any time. The registration apparatus SG can be conceived also as a self 
contained data terminal apparatus of the data processing system DV. In this case, it is 
positioned at the gate of a company building. 
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The registration apparatus SG can, however, be combined with the distance detector 
AL, in which case the identification carrier ID is programmable through the data interface 
between the distance detector AL and the personal computer DE. 

The identification carrier ID is programmed with a numerical code. To these data 
was added the security information. The output is determined by a secret formula. The 
data record which is placed in the memory of the identification carrier ID can only be 
generated once. Thereby, the possibility is excluded, that several identification carrier ID 
could exist with the same code. The user himself defines the freely accessible quantities of 
data while the registration apparatus SG and the distance detector AL attend to the data 
security of the program procedure and the interrogation. A particular range of the 
identification carrier ID remains closed to the user. This range, again, can only be 
programmed for the one time it is called up. These security measures, together with an 
ingenious polynomial for the data transmission permit a operationally safe installation. 

The chip 14 contains all functional components necessary for operation. To this 
belong memory storage for the user-specific recognition, a sending circuit for the 
transmission of the stored data, a receiving circuit for the alteration of parts of the stored 
data and a circuit for the energy yield for the operation of the chip 14. The generator for 
the voltage supply to chip 14 obtains the energy from the low frequency, alternating 
magnetic field. The integrated circuit 14 stores in the identification storage the 
identification memory defining the user, this being a more than 64 bit long (standard 
password), unmistakable recognition of the user. This recognition is not volatile and can 
be read-out by the activation of the generator for the voltage supply. 

A sending amplifier reads the recognition information from the storage, modulates it, 
and transmits it to the miniature coil 15. Over the same interface connection, the stored 
recognition is transmitted to the registration apparatus SG. The chip 14 and the miniature 
[German Column No. 6] 

coil 15 are protectively installed within a carrier. Three possible modes of construction of 
the identification carrier ID are presented in Fig. 3. All identification carriers ID are 
marked with a firmly applied serial number. 



DE40 15 482 Pg. 10 

In Fig. 3.1 the chip 14 and the miniature coil 15 have been cast into water tight, 
flexible material. Fig. 3.1 shows, approximately in natural size, how the miniature carrier, 
so constructed, can be affixed onto an armband 16. A plastic ring 17 encapsulates the 
identification carrier and the armband 16, which armband 16, for instance can be a 
wristwatch band. The miniature carrier 14, 13 can, however, be affixed to the arm band 

i 

16 with the help of non magnetic clips. 

In Fig. 3.2 a watch housing is so adapted, that beside the clockwork 18, additionally 
the chip 14 and the coil 15 can find a place in the housing. The coil 15 lies in this 
embodiment on the outside circumferential line of the dial. 

A further possibility for the fastening of the identification carrier ID in proximity to 
the hand is found pictured in Fig. 3.3. The chip 14 and the miniature coil 15 are 
embedded in a non-magnetic armband 20, which said armband is fashioned for this service. 
This armband possesses a closure 19, so that it can be taken off outside of the place of 
business. 

For a further increase of the security, this closure can be combined with an electronic 
circuit, in which the stored information in chip 14 is erased, so that the arm band 20, upon 
loss, is worthless for the finder. 

Consideration can also be given to constructing the identification carrier ID as a 

finger ring. 

In Fig. 4 is presented a block diagram of the distance detector AL, which is 
connected to each data terminal apparatus DE of the system to be protected. Upon need, 
the installation of the distance detector AL can be limited to such data terminal 
apparatuses DE as are not sufficiently protected by other measures or by those in which a 
frequent change of operators occurs. 

The distance detector AL is comprised of a combination of the electronic 
subassembly 2 and the send and receive coil 13 as pictured in Fig. 4. The send and receive 
coil, which is made of copper wire, is attached by a two line connector 12 with the 
electronic subassembly 2. The electronic subassembly 2 is mainly a combination of a 
send/receive circuit 8 and a microprocessor 3 
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The send and receive circuit 8 contains a generator 9 with a power amplifier 10, which 
produces the low frequency, alternating magnetic field in the send and receiving coil 13. 
The signal launched from the identification carrier ID in the send and receive coil 13 is 
broadcast so far by a receiving circuit 1 1, that it can be evaluated by a microprocessor 3. 

The microprocessor 3 is comprised principally of a CPU 5, an EEPROM 6 for the 
storage of the interrogation program, a RAM 7 for operational purposes, and an interface 
module 4. The interface module 4, together with the interrogation program, runs the 
interface 1. By means of this interface 1, the distance detector AL is coupled to the 
personal computer DE. In the case of an already operative version, the interface 1 is a 
V.24-Interface to a personal computer. In the presented version in Fig. 1, in which the 
[German Column No. 7] 

electronic subassembly 2 of the distance detector AL is slipped into the data terminal as a 
functional card, then the interface 1 is designed as an internal bus-interface. 

In operation, by means of the capacity chain 9, 10, 12, 13 an alternating magnetic 
field of a limited active extent is produced, which induces an alternating voltage in the 
miniature coil 1 5 of the identification carrier ID. This alternating voltage is converted to 
the necessary operational voltage in chip 14. The identification carrier ID subsequently 
transmits the user recognition which is stored therein in binary form. The data are 
received by the receiving branch 13, 12, 1 1 of the distance detector AL and processed in 
the microprocessor 3 and there evaluated. The microprocessor 3 exerts control through 
the interface 1 over the distance detector DE and releases therein free programmable 
reactions, which, in accord with the function flow diagram of with Fig. 6 are executed. 

Fig. 5 shows an embodiment or the distance detector AL which is an alternative to 
that shown in Fig. 1 . Involved here is a wedge shaped housing 23, in which not only the 
send and receive coil 13 is located, but also the electronic subassembly 2. The housing 23 
is comprised of a medium thick, fiber plate (MDF) and is laid frontally before the keyboard 
TA of a portable personal computer. A green light-diode 21 on the upper side of the 
housing 23 denotes the presence of an identification carrier ID in the active zone of the 
sending and receiving coil 13. 
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The connection to the personal computer is carried out with the help of a connection cable 
22 leading out of the housing 23. The connection cable 22 is connected with one of the 
serial interfaces of the personal computer. 

The functional logic flow chart of Fig. 6 shows the most important functions of the 
interrogation program contained in the distance detector AL. In the function "No User", 
then no person has connected into the data processing system DV."The data apparatus 
(personal computer) DE is, for all purposes, blocked, and none of its applications are 
active. In the function b), the CPU checks out continually the signal of the receiver 11, 
determining whether or not an identification carrier ID has entered into the active area of 
the sending and receiving coil 13. In case an identification carrier ID is detected, then the 
function c) becomes energized. With reference to a data base, the said carrier ID is placed 
in the EEPROM 6, or the on the memory medium of the personal computer DE, or yet in 
the central storage of the data processing system DV. In any case, the carrier ID is 
checked whether or not this user for this data terminal apparatus is admissible. In case the 
determination is negative, the apparatus DE is blocked and then continues to wait until a 
new recognition signal is detected. 

In case the recognition is admissible, then release is given to enter function d) 
wherein the data terminal apparatus is made free for use. The presence of the 
identification carrier ED in the active area of the send and receive coil 13 is continually 
monitored by the function e). As soon as the approved user vacates the said active zone, 
then the data terminal apparatus is blocked, in a manner to be described, and again waits 
upon the detection of a further user recognition. The active zone of a housing 23, or of a 
corresponding desk pad, or another means of containing the sending and receiving coil 13 
extends typically less than 20 cm. In no case is the extent more than one meter. 
[German Column No. 8] 

Under the heading of blockage of the data terminal apparatus which is immediately 
triggered, is to be understood especially a blocking of the keyboard and/or a blank-out of 
the screen. These blockages are again lifted when the user returns into the active zone. 
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After the duration of a specified time (for instance, three minutes) the interrogation 
program can cut-off the user at the data terminal apparatus (LOGOFF). Where especially 
security sensitive data terminal apparatuses, registration is executed if the user absents 
himself for a short moment from the data terminal apparatus and this is placed in blockage. 
The function "Block the keyboard/blank out the screen" can also be released if a non- 
authorized user comes into the active zone of the distance detector AL. For this 
protection, additional sensors are to be installed. 

Besides the automatic blocking of the data terminal apparatus, naturally, the user is 
offered the possibility of explicitly ending a conference. The function f) makes the 
decision as to whether all active applications are ended or whether the automatic blockage 
function should remain unreleased. Further blocking functions or reactions are 
programmable, for instance programmed through the interface 1 of the data terminal 
apparatus. 

CLAIMS 

Claimed is: 

1 . A system for the authorization of the user of a data terminal apparatus in which the 
user bears with him an identification carrier, which, within a prespecified distance 
can be touch-free interrogated and said carrier is made difficult to lose, and by which 
system a distance detector, which is installed proximal to the data terminal apparatus 
and by means of a connection cable is in electrical communication with the data 
terminal apparatus, detects a personal user recognition signal from the said 
identification carrier within the prespecified distance, 

therein characterized, in that a registration apparatus (SG) at a specified time (for 
instance daily) programmably enters a new personal user recognition into the 
identification carrier (ID) and likewise into the data processing system (DV), 
therein characterized, in that the identification carrier, which is difficult to lose, is 
placed on the wrist of the user, 
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therein characterized, in that the prespecified distance between the identification 
carrier (ED) and the distance detector (AL) and thereby also the distance between the 
identification carrier (ED) and the data terminal apparatus (DE) is less then 1 meter 
and therein characterized, in that not only the interrogation but also the 
programming of the personal user recognition is transmitted by a magnetic, 

* 

alternating field. 

An authorization system in accord with Claim 1 , therein characterized, in that the 
employed data terminal apparatus is a personal computer. 

An authorization system in accord with Claim 1 , therein characterized, in that the 
employed data terminal apparatus is a work station. 

4. An authorization system in accord with Claim 1 , therein characterized, in that the 
employed data terminal apparatus is a personal computer. 

5 . An authorization system in accord with Claims 1 to 4, therein characterized, in that 
the registration apparatus (SG) transmits the generated user recognition to the 
central data base of the data processing systems (DV). 

[German Column No. 9 J 

6. An authorization system in accord with Claims 1 to 4, therein characterized, in that 
the registration apparatus (SG) is combined with the distance detector (AL) and the 
user recognition produced thereby is transmitted to the data base in the said distance 
detector (AL). 



7 . [ Omitted in original text.] 
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An authorization system in accord with one of the foregoing Claims, therein 
characterized, in that the prespecified distance between the identification carrier (ID) 
on the one hand and the distance detector (AL) on the other — i.e. the data terminal 
apparatus (DE) — is less than 20 cm. 

An authorization system in accord with Claims 1 to 8, therein characterized, in that 
the data terminal apparatus (DE) is immediately blocked, when the identification 
carrier (ID) leaves the predetermined distance from the active zone. 

An authorization system in accord with Claims 1 to 9, therein characterized, in that 
the input keyboard (TA) is blocked. 

An authorization system in accord with Claim 9, therein characterized, in that a 
screen of the data terminal apparatus (DE) is made blank or a printer of the data 
terminal apparatus is blocked. 

An authorization system in accord with Claim 9, therein characterized, in that the 
data terminal apparatus (DE) signs off the user after the expiration of a specified 
interval of time on the data processing system (DV). 

A system for the authorization, with which a user of a data processing system who is 
located proximal to a data terminal apparatus is touch-free authenticated, 
characterized by: 

° an identification carrier (ID), which is comprised of 
a chip (14) and a miniature coil (15), 

o a distance detector (AL), with which an electronic subassembly (2) 
is connected by a connection cable (12) to a sending and receiving coil, 
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and a registration apparatus (SG) for the programming of the 
identification carrier (ID), which registration apparatus (SG) is 
centrally, or by means of the data terminal apparatus (DE), 
is connected to the data processing system (DV). 

14. A system in accord with Claim 13, therein characterized, in that the identification 
carrier (ED) is fastened to an arm band (16). 

15. A system in accord with Claim 14, therein characterized, in that the fastening is 
carried out by a plastic ring (17), 

16. A system in accord with Claim 1 4, therein characterized, in that the fastening is 
effected by a non-magnetic clip. 

17. A system in accord with Claim 13, therein characterized, in that the identification 
carrier (ID) is inset into an armband (20). 

18. A system in accord with Claim 1 7, therein characterized, in that the arm band (20) 
possesses a closure means (19) wherein by the opening of which the recognition in 
the identification carrier is lost. 

1 9. A system in accord with Claim 13, therein characterized, in that the identification 
carrier (ID) is built into the housing of a wristwatch. 

[German Column No. 10] 

20. A system in accord with Claim 1 3 , therein characterized, in that the identification 
carrier (ED) is installed in a finger ring. 



DE40 15 482 Pg. 17 

1 A system in accord with Claims 1 3 to 20, therein characterized, in that the distance 
detector (AL) is protected within a housing (23), which contains an electronic 
subassembly (2) and a send and receive coil (13) and is designed as a wedge shaped 
work-desk pad. 

12. A system in accord with Claim 2 1 , therein characterized, in tRat the housing (23) 
carries a light diode (21) which shows the full authenticity of the user. 

13. A system in accord with Claims 1 3 to 20, therein characterized, in that the sending 
and the receiving coil 13 of the distance detector (AL) is inlaid in a work-desk 
equipment base and further characterized in that the electronic subassembly (2) of 
the distance detector (AL) is placed upon a card which can be inserted into the data 
terminal apparatus (DE) 

24. A system in accord with the Claims 13 to 23, therein characterized, in that an 
additional sensor (ZS) is provided, which is sensitized for the approach of an 
identification carrier (ID) on a further input means, in particular a so-called mouse. 

25. A system in accord with one of the Claims 13 to 24, therein characterized, in that 
further sensors are provided, which register the approach of non-approved persons. 

26 . A system in accord with Claims 1 3 to 25, therein characterized, in that the electronic 
subassembly (2) of the distance detector (AL) is connected through a serial interface 
to the data terminal apparatus (DE). 

27. A system in accord with claims 13 to 25, therein characterized, in that the electronic 
subassembly (2) of the distance detector (AL) is connected through an internal 
interface to the data bus of the data terminal apparatus (DE). 

[This concludes DE 40 15 482] 
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Fig. 1: Main Components 
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Fig. 2: Block diagram of the ID carrier 
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Fig. 3: Forms of the ID carrier 



Fig. 3.1: Fastening on an armband 





Fig. 3.3: Integrated in an armband 
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Fig. 4: Block circuit diagram of the "Distance Detector 1 
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Fig. 5: Housing for "Distance Detector" 
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Fig. 6: Functional logic flow diagram 
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